Share via

Listar atribuições de função do Microsoft Entra

  • Artigo

Este artigo descreve como listar funções que você atribuiu no Microsoft Entra ID. No Microsoft Entra ID, as funções podem ser atribuídas em um escopo de toda a organização ou com um escopo de aplicativo único.

  • As atribuições de função no escopo de toda a organização são adicionadas e podem ser vistas na lista de atribuições de função de aplicativo único.
  • As atribuições de função no escopo de aplicativo único não são adicionadas e não podem ser vistas na lista de atribuições com escopo em toda a organização.

Pré-requisitos

  • Módulo do Microsoft Graph PowerShell ao usar o PowerShell
  • Consentimento do administrador ao utilizar os Testes de API do Graph para a Microsoft Graph API

Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.

Centro de administração do Microsoft Entra

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Este procedimento descreve como listar atribuições de função com escopo em toda a organização.

  1. Inicie sessão no centro de administração do Microsoft Entra.

  2. Navegue até Identity>Roles & admins Roles & admins.>

  3. Selecione uma função para abri-la e exibir suas propriedades.

  4. Selecione Atribuições para listar as atribuições de função.

    List role assignments and permissions when you open a role from the list

Listar minhas atribuições de função

Também é fácil listar suas próprias permissões. Selecione Sua Função na página Funções e administradores para ver as funções que estão atualmente atribuídas a você.

List my role assignments

Baixar atribuições de função

Para baixar todas as atribuições de função ativas em todas as funções, incluindo funções internas e personalizadas, siga estas etapas (atualmente em Visualização).

  1. Na página Funções e administradores, selecione Todas as funções.

  2. Selecione Baixar atribuições.

    Um arquivo CSV que lista atribuições em todos os escopos para todas as funções é baixado.

    Screenshot showing download all role assignments.

Para baixar todas as atribuições de uma função específica, siga estas etapas.

  1. Na página Funções e administradores, selecione uma função.

  2. Selecione Baixar atribuições.

    Um arquivo CSV que lista atribuições em todos os escopos para essa função é baixado.

    Screenshot showing download all assignments for a specific role.

Listar atribuições de função com escopo de aplicativo único

Esta seção descreve como listar atribuições de função com escopo de aplicativo único. Esta funcionalidade está atualmente em pré-visualização pública.

  1. Inicie sessão no centro de administração do Microsoft Entra.

  2. Navegue até Registros do aplicativo Identity>Applications>.

  3. Selecione o registro do aplicativo para exibir suas propriedades. Talvez seja necessário selecionar Todos os aplicativos para ver a lista completa de registros de aplicativos em sua organização do Microsoft Entra.

    Create or edit app registrations from the App registrations page

  4. No registo da aplicação, selecione Funções e administradores e, em seguida, selecione uma função para ver as respetivas propriedades.

    List app registration role assignments from the App registrations page

  5. Selecione Atribuições para listar as atribuições de função. Abrir a página de atribuições de dentro do registro do aplicativo mostra as atribuições de função que têm como escopo esse recurso do Microsoft Entra.

    List app registration role assignments from the properties of an app registration

PowerShell

Esta seção descreve a exibição de atribuições de uma função com escopo em toda a organização. Este artigo usa o módulo Microsoft Graph PowerShell . Para exibir atribuições de escopo de aplicativo único usando o PowerShell, você pode usar os cmdlets em Atribuir funções personalizadas com o PowerShell.

Use os comandos Get-MgRoleManagementDirectoryRoleDefinition e Get-MgRoleManagementDirectoryRoleAssignment para listar atribuições de função.

O exemplo a seguir mostra como listar as atribuições de função para a função Administrador de Grupos .

# Fetch list of all directory roles with template ID
Get-MgRoleManagementDirectoryRoleDefinition

# Fetch a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Fetch membership for a role
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 71b3857d-2a23-416d-bd22-a471854ddada 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 fd2d57c7-22ad-42cd-961a-7340fb2eb6b4 62e90394-69f5-4237-9190-012177145e10 /

O exemplo a seguir mostra como listar todas as atribuições de função ativas em todas as funções, incluindo funções internas e personalizadas (atualmente em Visualização).

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 71b3857d-2a23-416d-bd22-a471854ddada 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 fd2d57c7-22ad-42cd-961a-7340fb2eb6b4 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 c5119b78-25cb-458b-ab9c-772a48f64e40 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 767f5768-89fc-4a8e-b151-631cd5c53787 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 4dc37087-32eb-4e03-9292-bbede3e10e72 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 2859ce0c-8f17-47c1-bac0-3889a693c9a2 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Microsoft Graph API

Esta seção descreve como listar atribuições de função com escopo em toda a organização. Para listar atribuições de função de escopo de aplicativo único usando a Graph API, você pode usar as operações em Atribuir funções personalizadas com a Graph API.

Use a API List unifiedRoleAssignments para obter as atribuições de função para uma definição de função específica. O exemplo a seguir mostra como listar as atribuições de função para uma definição de função específica com a ID 3671d40a-1aac-426c-a0c1-a3821ebd8218.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq ‘<template-id-of-role-definition>’

Response

HTTP/1.1 200 OK
{
    "id": "CtRxNqwabEKgwaOCHr2CGJIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "ab2e1023-bddc-4038-9ac1-ad4843e7e539",
    "roleDefinitionId": "3671d40a-1aac-426c-a0c1-a3821ebd8218",
    "directoryScopeId": "/"
}

Próximos passos