Get-AzRoleAssignment

  • リファレンス
モジュール:
Az.Resources

指定したスコープでの Azure RBAC ロールの割り当てを一覧表示します。 既定では、選択した Azure サブスクリプション内のすべてのロールの割り当てが一覧表示されます。 特定のユーザーへの割り当てを一覧表示したり、特定のリソース グループまたはリソースに対する割り当てを一覧表示したりするには、それぞれのパラメーターを使用します。

このコマンドレットは、入力パラメーターに従って、以下の Microsoft Graph API を呼び出す場合があります。

  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /directoryObjects/{id}
  • POST /directoryObjects/getByIds

ロールの割り当てのオブジェクトが見つからない場合、または現在のアカウントにオブジェクトの種類を取得するための特権が不十分な場合、このコマンドレットは出力としてUnknownマークObjectTypeされることに注意してください。

構文

Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-ObjectId <String>]
   -RoleDefinitionId <Guid>
   [-Scope <String>]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

説明

Get-AzRoleAssignment コマンドを使用して、スコープで有効なすべてのロールの割り当てを一覧表示します。 このコマンドにパラメーターを指定しなかった場合、対象サブスクリプションで行われたすべてのロールの割り当てが返されます。 この一覧は、プリンシパル、ロール、スコープのフィルター 処理パラメーターを使用してフィルター処理できます。 割り当ての件名を指定する必要があります。 ユーザーを指定するには、SignInName パラメーターまたは Microsoft Entra ObjectId パラメーターを使用します。 セキュリティ グループを指定するには、Microsoft Entra ObjectId パラメーターを使用します。 Microsoft Entra アプリケーションを指定するには、ServicePrincipalName または ObjectId パラメーターを使用します。 割り当てられているロールは、RoleDefinitionName パラメーターを使用して指定する必要があります。 アクセスを許可するスコープを指定できます。 既定では、選択したサブスクリプションが使用されます。 割り当てのスコープは、次のいずれかのパラメーターの組み合わせを使用して指定できます。 スコープ - /subscriptions/<subscriptionId> で始まる完全修飾スコープです。 これにより、その特定のスコープで有効な割り当て (つまり、そのスコープ以上のすべての割り当て) がフィルター処理されます。 b. ResourceGroupName - サブスクリプションの下にある任意のリソース グループの名前。 これにより、指定されたリソース グループ c で有効な割り当てがフィルター処理されます。 ResourceName、ResourceType、ResourceGroupName、および (必要に応じて) ParentResource - サブスクリプションの特定のリソースを識別し、そのリソース スコープで有効な割り当てをフィルター処理します。 サブスクリプション内の特定のユーザーが持つアクセス権を確認するには、ExpandPrincipalGroups スイッチを使用します。 これにより、ユーザーとユーザーがメンバーになっているグループに割り当てられているすべてのロールが一覧表示されます。 IncludeClassic管理istrators スイッチを使用して、サブスクリプション管理者と共同管理者も表示します。

例 1

Get-AzRoleAssignment

サブスクリプション内のすべてのロールの割り当てを一覧表示する

例 2

Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com

testRG スコープ以上で、ユーザー john.doe@contoso.comに対して行われたすべてのロールの割り当てと、メンバーであるグループを取得します。

例 3

Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"

指定したサービス プリンシパルのすべてのロールの割り当てを取得します

例 4

Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

'site1' Web サイト スコープでのロールの割り当てを取得します。

パラメーター

-DefaultProfile

Azure との通信に使用される資格情報、アカウント、テナント、サブスクリプション

Type:IAzureContextContainer
Aliases:AzContext, AzureRmContext, AzureCredential
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-ExpandPrincipalGroups

指定した場合、ユーザーとユーザーがメンバーであるグループに直接割り当てられたロールを返します (推移的)。 ユーザー プリンシパルに対してのみサポートされます。

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-IncludeClassicAdministrators

指定した場合は、サブスクリプション クラシック管理者 (共同管理者、サービス管理者など) ロールの割り当ても一覧表示されます。

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-ObjectId

ユーザー、グループ、またはサービス プリンシパルの Microsoft Entra ObjectId。 指定したプリンシパルに対して行われたすべての割り当てをフィルター処理します。

Type:String
Aliases:Id, PrincipalId
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-ParentResource

ResourceName パラメーターを使用して指定されたリソースの階層内の親リソース。 ResourceGroupName、ResourceType、および ResourceName パラメーターと組み合わせて使用する必要があります。

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False

-ResourceGroupName

リソース グループ名。 指定したリソース グループで有効なロールの割り当てを一覧表示します。 ResourceName、ResourceType、ParentResource の各パラメーターと組み合わせて使用すると、リソース グループ内のリソースで有効な割り当てが一覧表示されます。

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-ResourceName

リソースの名前。 例: storageaccountprod。 ResourceGroupName、ResourceType、および (オプションで) ParentResource パラメーターと組み合わせて使用する必要があります。

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-ResourceType

リソースの種類。 たとえば、Microsoft.Network/virtualNetworks などです。 ResourceGroupName、ResourceName、および (オプションで) ParentResource パラメーターと組み合わせて使用する必要があります。

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-RoleDefinitionId

プリンシパルに割り当てられているロールの ID。

Type:Guid
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-RoleDefinitionName

プリンシパル (閲覧者、共同作成者、Virtual Network 管理istrator など) に割り当てられるロール。

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False

-Scope

ロールの割り当てのスコープ。 相対 URI の形式。 例: /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG。 "/subscriptions/{id}" で始まる必要があります。 このコマンドは、そのスコープで有効なすべての割り当てをフィルター処理します。

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-ServicePrincipalName

サービス プリンシパルの ServicePrincipalName。 指定した Microsoft Entra アプリケーションに対して行われたすべての割り当てをフィルター処理します。

Type:String
Aliases:SPN
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-SignInName

ユーザーの電子メール アドレスまたはユーザー プリンシパル名。 指定したユーザーに対して行われたすべての割り当てをフィルター処理します。

Type:String
Aliases:Email, UserPrincipalName
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-SkipClientSideScopeValidation

指定した場合は、クライアント側のスコープの検証をスキップします。

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

入力

String

Guid

出力

PSRoleAssignment

メモ

キーワード: azure, azurerm, arm, リソース, 管理, マネージャー, リソース, グループ, テンプレート, デプロイ