Get-AzRoleAssignment

Elenca le assegnazioni di ruolo controllo degli accessi in base al ruolo di Azure nell'ambito specificato. Per impostazione predefinita, elenca tutte le assegnazioni di ruolo nella sottoscrizione di Azure selezionata. Usare i rispettivi parametri per elencare le assegnazioni a un utente specifico o per elencare le assegnazioni in un gruppo di risorse o una risorsa specifica.

Il cmdlet può chiamare sotto l'API Microsoft Graph in base ai parametri di input:

  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /directoryObjects/{id}
  • POST /directoryObjects/getByIds

Si noti che questo cmdlet contrassegnerà ObjectType come Unknown nell'output se l'oggetto dell'assegnazione di ruolo non viene trovato o l'account corrente dispone di privilegi insufficienti per ottenere il tipo di oggetto.

Sintassi

Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-ObjectId <String>]
   -RoleDefinitionId <Guid>
   [-Scope <String>]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Descrizione

Usare il comando Get-AzRoleAssignment per elencare tutte le assegnazioni di ruolo valide in un ambito. Senza parametri, questo comando restituisce tutte le assegnazioni del ruolo eseguite nell'ambito della sottoscrizione. Questo elenco può essere filtrato usando i parametri di filtro per entità, ruolo e ambito. È necessario specificare l'oggetto dell'assegnazione. Per specificare un utente, usare i parametri SignInName o Microsoft Entra ObjectId. Per specificare un gruppo di sicurezza, usare il parametro ObjectId di Microsoft Entra. Per specificare un'applicazione Microsoft Entra, usare i parametri ServicePrincipalName o ObjectId. Il ruolo assegnato deve essere specificato usando il parametro RoleDefinitionName. È possibile specificare l'ambito in cui viene concesso l'accesso. L'impostazione predefinita è la sottoscrizione selezionata. L'ambito dell'assegnazione può essere specificato usando una delle combinazioni di parametri seguenti. Ambito: ambito completo a partire da /subscriptions/<subscriptionId>. Verranno filtrate le assegnazioni valide in tale ambito specifico, ad esempio tutte le assegnazioni nell'ambito e versioni successive. b. ResourceGroupName: nome di qualsiasi gruppo di risorse nella sottoscrizione. Verranno filtrate le assegnazioni valide nel gruppo di risorse c specificato. ResourceName, ResourceType, ResourceGroupName e (facoltativamente) ParentResource: identifica una determinata risorsa nella sottoscrizione e filtra le assegnazioni valide nell'ambito della risorsa. Per determinare l'accesso di un determinato utente nella sottoscrizione, usare l'opzione ExpandPrincipalGroups. Verranno elencati tutti i ruoli assegnati all'utente e ai gruppi di cui l'utente è membro. Usare l'opzione IncludeClassic Amministrazione istrators per visualizzare anche gli amministratori e i coamministratori della sottoscrizione.

Esempio

Esempio 1

Get-AzRoleAssignment

Elencare tutte le assegnazioni di ruolo nella sottoscrizione

Esempio 2

Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com

Ottiene tutte le assegnazioni di ruolo effettuate all'utente john.doe@contoso.come i gruppi di cui è membro, nell'ambito testRG o superiore.

Esempio 3

Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"

Ottiene tutte le assegnazioni di ruolo dell'entità servizio specificata

Esempio 4

Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Ottiene le assegnazioni di ruolo nell'ambito del sito Web "site1".

Parametri

-DefaultProfile

Credenziali, account, tenant e sottoscrizione usati per la comunicazione con Azure

Type:IAzureContextContainer
Aliases:AzContext, AzureRmContext, AzureCredential
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-ExpandPrincipalGroups

Se specificato, restituisce i ruoli assegnati direttamente all'utente e ai gruppi di cui l'utente è membro (transitivamente). Supportato solo per un'entità utente.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-IncludeClassicAdministrators

Se specificato, elenca anche gli amministratori classici della sottoscrizione (coamministratori, amministratori del servizio e così via) assegnazioni di ruolo.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-ObjectId

Id oggetto Microsoft Entra dell'utente, del gruppo o dell'entità servizio. Filtra tutte le assegnazioni effettuate all'entità specificata.

Type:String
Aliases:Id, PrincipalId
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-ParentResource

Risorsa padre nella gerarchia della risorsa specificata usando il parametro ResourceName. Deve essere usato insieme ai parametri ResourceGroupName, ResourceType e ResourceName.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False

-ResourceGroupName

Il nome del gruppo di risorse. Elenca le assegnazioni di ruolo valide nel gruppo di risorse specificato. Se usato insieme ai parametri ResourceName, ResourceType e ParentResource, il comando elenca le assegnazioni valide nelle risorse all'interno del gruppo di risorse.

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-ResourceName

Nome della risorsa. Ad esempio storageaccountprod. Deve essere usato insieme ai parametri ResourceGroupName, ResourceType e (facoltativamente)ParentResource.

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-ResourceType

Tipo di risorsa. Ad esempio Microsoft.Network/virtualNetworks. Deve essere usato insieme ai parametri ResourceGroupName, ResourceName e (facoltativamente)ParentResource.

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-RoleDefinitionId

ID del ruolo assegnato all'entità.

Type:Guid
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-RoleDefinitionName

Ruolo assegnato all'entità principale, ad esempio Lettore, Collaboratore, Rete virtuale Amministrazione istrator e così via.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False

-Scope

Ambito dell'assegnazione di ruolo. Nel formato dell'URI relativo. Ad esempio /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Deve iniziare con "/subscriptions/{id}". Il comando filtra tutte le assegnazioni valide in tale ambito.

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-ServicePrincipalName

ServicePrincipalName dell'entità servizio. Filtra tutte le assegnazioni effettuate all'applicazione Microsoft Entra specificata.

Type:String
Aliases:SPN
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-SignInName

Indirizzo di posta elettronica o nome dell'entità utente dell'utente. Filtra tutte le assegnazioni effettuate all'utente specificato.

Type:String
Aliases:Email, UserPrincipalName
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-SkipClientSideScopeValidation

Se specificato, ignorare la convalida dell'ambito lato client.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

Input

String

Guid

Output

PSRoleAssignment

Note

Parole chiave: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment